BitLocker 概觀
適用於: Windows Server 2012, Windows 8
本主題提供 BitLocker 的整體概觀,包括新功能和變更的功能、系統需求、實際應用及過時的功能等清單。 文中提供其他內容的連結,協助您深入了解使用 BitLocker。
您是不是要尋找…
功能說明
BitLocker 磁碟機加密是作業系統的資料保護功能,首次在 Windows Vista 提供。 後續作業系統版本持續增強 BitLocker 提供的安全性,讓作業系統可對更多磁碟機與裝置提供 BitLocker 保護。 整合 BitLocker 與作業系統,可解決因遺失、遭竊或不適當地報廢電腦而導致的資料遭竊或暴露威脅。 Manage-bde 是一種命令列工具,同樣可用來在與 BitLocker 有關的電腦上執行工作。 在伺服器上安裝 BitLocker 選用元件時,您也必須安裝增強存放裝置功能,該功能是用來支援硬體加密的磁碟機。 在伺服器上,還可以安裝另一個 BitLocker 功能,即 BitLocker 網路解除鎖定。 執行 Windows RT、Windows RT 8.1 或 Windows 8.1 的電腦可使用裝置加密保護 (為 BitLocker 的自訂版本)。
在與信賴平台模組 (TPM) 1.2 版或更新版本搭配使用時,BitLocker 可以提供最大保護。 TPM 是電腦製造商在許多新型電腦中會安裝的硬體元件。 TPM 與 BitLocker 搭配使用可協助保護使用者資料,同時確保電腦在系統離線時未遭到任何竄改。
在未安裝 TPM 1.2 版或更新版本的電腦上,您仍然可以使用 BitLocker 來加密 Windows 作業系統磁碟機。 不過,這個實作需要使用者插入 USB 啟動金鑰,電腦才能從休眠狀態啟動或繼續作業。 在沒有 TPM 的電腦上,保護作業系統磁碟區的另一種選擇,就是在 Windows 8 中使用作業系統磁碟區密碼。 兩個選項都未提供由 BitLocker 和 TPM 所提供的預先啟動系統完整性驗證。
除了 TPM 之外,在使用者提供個人識別碼 (PIN) 之前,或插入包含啟動金鑰的卸除式裝置 (例如 USB 快閃磁碟機) 之前,BitLocker 也可以鎖住正常啟動程序。 這些額外的安全方法提供多重要素驗證,並確保在提供正確的 PIN 以及啟動金鑰以前,電腦不會從休眠狀態啟動或繼續作業。
實際應用
惡意使用者可以在遺失或遭竊的電腦上執行軟體攻擊工具,或者將電腦的硬碟轉移到其他電腦,即可在未經授權的情況下存取電腦上的資料。 BitLocker 藉由增強檔案和系統保護來減少未經授權的資料存取。 當受 BitLocker 保護的電腦被報廢或回收的時候,BitLocker 也可以協助將資料轉換成無法存取。
遠端伺服器管理工具有兩個用來管理 BitLocker 的額外工具。
BitLocker 修復密碼檢視器。 BitLocker 修復密碼檢視器可讓您尋找並檢視備份到 Active Directory 網域服務 (AD DS) 中的 BitLocker 磁碟機加密修復密碼。 您可以使用這個工具,協助修復已使用 BitLocker 加密的磁碟機上儲存的資料。 BitLocker 修復密碼檢視器工具是 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元的延伸。
您可以使用此工具檢查電腦物件的 [內容] 對話方塊,檢視對應的 BitLocker 修復密碼。 此外,您可以在網域控制站上按一下滑鼠右鍵,然後在 Active Directory 樹系中的所有網域搜尋 BitLocker 修復密碼。 若要檢視修復密碼,您必須是網域系統管理員,或是網域系統管理員已委派給您權限。
BitLocker 磁碟機加密工具。 BitLocker 磁碟機加密工具包含 命令列工具 manage-bde 與 repair-bde,以及 Windows Power Shell 的 BitLocker Cmdlet。 Manage-bde 和 BitLocker Cmdlet 可以用來執行任何可以透過 BitLocker 控制台完成的作業,而且它們適合用於自動化部署以及其他指令碼處理的案例。 Repair-bde 適用於嚴重損毀修復案例,像是 BitLocker 保護的磁碟機無法正常解除鎖定或者利用修復主控台也無法解除鎖定。
新功能和變更的功能
下表指出 Windows 8 與 Windows Server 2012 中新增與變更的 BitLocker 功能。 登出 BitLocker 的新功能。
特色/功能 |
Windows 7 |
Windows 8 和 Windows Server 2012 |
|---|---|---|
重設 BitLocker PIN 或密碼 |
重設作業系統磁碟機上的 BitLocker PIN 與固定或卸除式資料磁碟機上的密碼,需要系統管理員權限。 |
標準使用者可以重設作業系統磁碟機、固定資料磁碟機以及卸除式資料磁碟機上的 BitLocker PIN 與密碼。 |
磁碟加密 |
啟用 BitLocker 時,便會加密整個磁碟。 |
您可以選擇在啟用 BitLocker 時,要加密整個磁碟或是只加密磁碟上已使用的空間。 磁碟空間一經使用,就會加密該磁碟。 |
硬體加密磁碟機支援 |
原本不受 BitLocker 支援。 |
BitLocker 可以支援有 Windows 標誌而且製造商已預先加密的硬碟。 |
使用網路金鑰來解除鎖定,以提供雙因素驗證。 |
無法使用。 必須實際在電腦操作,才能進行雙因素驗證。 |
遇到電腦在信任的有線網路上重新開機的狀況,新類型的金鑰保護裝置可以允許使用者將特殊網路金鑰用於解除鎖定,並略過 PIN 輸入提示。 使用者可以在非工作時間內,從遠端維護以 PIN 保護的電腦,並且可以提供雙重因素認證,不需要人員實際在電腦旁操作,當電腦未連線至信任的網路時,依然可以保證使用者驗證是必要的。 |
保護叢集 |
無法使用。 |
Windows Server 2012 包含網域中執行的 Windows 叢集共用磁碟區和 Windows 容錯移轉叢集的 BitLocker 支援,該網域由啟用 Kerberos 金鑰發佈中心服務的 Windows Server 2012 網域控制站所建立。 |
連結 BitLocker 金鑰保護裝置與 Active Directory 帳戶 |
無法使用。 |
允許 BitLocker 金鑰保護裝置繫結至 Active Directory 中的使用者、群組或電腦帳戶。 當使用者使用正確的認證登入,或是使用正確的認證登入電腦時,該金鑰保護裝置可用來解除鎖定 BitLocker 保護的資料磁碟區。 |
已移除或過時的功能
不可以再將擴散器選項新增至進階加密標準 (AES) 加密演算法。
Windows 8 和 Windows Server 2012 已棄用 [設定 TPM 驗證設定檔] 群組原則設定。 已使用 BIOS 型和 UEFI 型電腦的系統特定原則取代該設定。
manage-bde 不再支援 –tpm 選項。
系統需求
BitLocker 的硬體需求如下:
為了讓 BitLocker 使用信賴平台模組 (TPM) 提供的系統完整性檢查,電腦必須有 TPM 1.2 或 TPM 2.0。 如果您的電腦沒有 TPM,則啟用 BitLocker 時會要求您將啟動金鑰儲存在 USB 快閃磁碟機這類的卸除式裝置。
具備 TPM 的電腦也必須要有與信賴運算群組 (TCG) 相容的 BIOS 或 UEFI 韌體。 BIOS 或 UEFI 韌體會針對預先作業系統啟動建立信任鏈結,並且它必須支援 TCG 指定的信賴測量的靜態根。 沒有 TPM 的電腦不需要 TCG 相容的韌體。
系統 BIOS 或 UEFI 韌體 (針對 TPM 與非 TPM 電腦) 必須支援 USB 大型存放裝置類別,包括在預先作業系統環境中讀取 USB 快閃磁碟機中的小型檔案。 如需 USB 的詳細資訊,請參閱 USB 網站 上的 USB Mass Storage Bulk-Only 和 Mass Storage UFI Command 規格。
硬碟至少必須分割成兩個磁碟機:
作業系統磁碟機 (或開機磁碟機),其中包含作業系統和支援的檔案。 它必須格式化成 NTFS 檔案系統。
系統磁碟機包含韌體準備好系統硬體之後載入 Windows 所需的檔案。 不會在這個磁碟機上啟用 BitLocker。 要讓 BitLocker 正常執行,系統磁碟機不可以加密、必須與作業系統磁碟機不同,而且使用 UEFI 式韌體的電腦必須格式化成 FAT32 檔案系統,若為使用 BIOS 韌體的電腦,則必須格式化成 NTFS 檔案系統。 建議使用的系統磁碟機大小約為 350 MB。 開啟 BitLocker 之後,應該有大約 250 MB 的可用空間。
在新電腦上安裝時,Windows 會自動建立 BitLocker 所需的磁碟分割。